主动防御技术在医院信息网络安全中的应用分析

马 勇

（宁夏固原市人民医院,宁夏 固原 756000）

随着现代计算机网络技术的应用和发展，网络信息技术已经被广泛应用到了医院的日常工作中，并为医护人员和患者等带来了诸多便利。但是在实际应用中，由于受到各方面因素的影响，医院信息网络很容易出现一些安全风险。在这样的情况下，医院信息网络的安全防护便成了应用者与运维技术人员重点关注的一项内容。而在现代医院的信息网络安全防护中，主动防御技术发挥着至关重要的作用。为合理应用此项技术，研究者与技术人员首先需要对主动防护技术及其在医院信息安全防护中的应用情况做到充分了解，然后再结合目前医院信息网络的实际安全防护需求，充分发挥出主动防御技术的应用优势，提升医院信息网络的安全性。

1 主动防御技术及其在医院信息网络安全中的应用概述

1.1 主动防御技术

主动防御技术是与传统被动防御技术相对应的一种新型计算机网络安全防护技术。此项技术可在信息系统受到非法入侵之前便及时对相应的入侵行为做出精准预测，并通过弹性防御体系的及时、有效构建来实现信息系统安全风险的降低、转移和避免[1]。就目前计算机信息网络安全防护中应用的主动防御技术而言，其主要层次包括以下3个：（1）资源访问控制层，该层可对用户计算机信息网络中的进程启动、特定系统AP调用、文件调用以及注册表调用等系统资源实施规则化控制，以此有效预防木马、病毒等恶意程序非法利用这些资源，从而有效抵御未知的木马和病毒等攻击行为。（2）资源访问扫描层，该层可对用户计算机信息网络中的脚本、邮件、引导区和文件等资源进行访问，并对拦截的上下文内容进行扫描来识别其中存在的各种安全威胁，从而实现对恶意代码的及时、有效处理。（3）进程活动行为判定层，该层可对来自上述两层的进程动作和特征信息进行自动收集，并对其进行合理的加工与判断处理，以此来实现对各类危险行为的合理分析与提炼，在不需要用户参与的情况下便可自动识别并阻止计算机信息网络中的后门、木马以及病毒等各种未知的恶意程序。

1.2 主动防御技术在信息网络安全领域的应用优势

在当前的计算机信息网络安全防护工作中，相比较传统的被动防御技术而言，主动防御技术的应用优势主要表现在以下几方面：（1）可减缓各类非法入侵的速度，或直接导致入侵脱轨，使入侵行为不能顺利完成，或无法继续实施入侵。在这样的情况下，入侵者便更容易在入侵行动中犯错，从而其入侵媒介与IP地址更容易暴露。（2）就本质而言，主动防御技术属于非对称形式的防御技术，通过应用该技术，也可以进一步增加非法入侵者的入侵时间及入侵成本，从而显著增加其入侵难度。（3）此项技术不仅可对外部网络入侵局域网的行为做出及时检测和有效阻止，还可以对局域网中的攻击行为做出及时检测和制止，比如加密劫持、勒索劫持以及勒索软件等。（4）此项技术可对非法入侵者的入侵活动做到及时主动检测与破坏，并对其入侵手法与威胁情报等进行全面搜集、分析和记录，以此最大限度避免类似非法入侵事件的发生。（5）在某些特殊场合，该技术还可以向非法入侵者发出相应的反击[2]。由此可见，主动防御技术在现代信息网络安全领域中具有非常显著的应用优势。

1.3 主动防御技术在医院信息网络中的应用现状

随着当今网络信息技术的飞速发展，主动防御技术已经在医院信息网络中得到了越来越广泛的应用，并展现了显著的应用价值。经实践应用发现，主动防御技术可将医院信息网络中的各种潜在安全隐患有效消除，使医院整体信息网络系统都更具安全性，从而有效避免了信息丢失或信息泄露所导致的医患纠纷情况。但是由于主动防御技术在我国医院信息网络中的应用时间比较短，以往的应用经验也比较有限，所以实际应用并不成熟，比如定向攻击联动防御不佳、关联分析安全联动及其预警水平较差等[3]。如果这些问题得不到及时发现和有效解决，医院信息网络安全依然得不到有效保障。基于此，相关研究者与技术人员需加强主动防御技术的应用研究，解决其在医院信息网络安全防护中存在的问题，提升医院信息网络的安全性。

2 医院信息网络中的安全监测与安全感知

为能够对医院信息网络安全势态进行全面感知，研究者可将当前先进的大数据技术引入其中，构建一个医院信息网络安全监测框架。图1是本次研究中设计的医院信息网络安全监测框架整体结构。

具体设计中，设计者需要将流量传感器部署到医院信息网络前端服务器上，并将传感器衔接到防火墙服务器程序里的输出接口、TSA以及IDS上。在这样的设计模式下，设计者将传感器启动，便可对APT、IPS、IDS以及TSA等各个前端服务器中的数据进行主动采集。在传感器的数据收集过程中，其计算公式如下。

式（1）中，X代表传感器向医院信息网络实时反馈的流量数据；代表医院信息网络里的数据传输距离；l代表医院信息网络中的节点序号，即第l个节点；c代表传输过程中数据的损失值。为有效防止网络传输信道中干扰值对医院信息网络中采集到的流量数据产生不良影响，设计者与技术人员可通过如下公式来集中过滤和处理采集到的数据。

式（2）中，P代表过滤数据的方法；eval代表规范化的数据处理过程；a代表包含在数据中的白噪声；J代表数据重组行为。在此过程中，传感器会将处理好的数据汇总并储存到Hadoop服务器里，借助于该服务器所具备的聚类、分析以及处理等功能，设计者与技术人员可进一步挖掘和分析这些信息网络中的流量数据。在此过程中，要想实现医院信息网络中各类流量数据挖掘及其处理过程的全面描述，设计者与技术人员可应用如下计算公式。

式（3）中，Q代表医院信息网络中的各类流量数据挖掘及其处理过程；t代表数据输出中的时序点；r代表随机空间里数据处理时所形成的随机数。通过以上公式的合理应用，服务器便可将不同时刻的医院信息网络流量数据挖掘及其处理结果输出，并将这些数据按照时序进行排列[4]。这样设计者与技术人员便可及时掌握医院信息网络中的流量异常情况，从而对医院信息网络做到科学、合理、及时、有效的安全监测和安全感知。

3 医院信息网络安全防护中的主动防御技术应用策略

3.1 定向攻击联动防御策略

在设计者与技术人员对医院信息网络实际的安全势态做到充分掌握后，便可以此为依据，将主动防御技术合理引入其中，并结合医院的实际信息网络安全防护需求，为其设计相应的定向攻击联动防御机制。主动防御技术的基本应用功能是对抗医院信息网络中的入侵数据。在此过程中，数据进入端口会整合并协调处理各类的数据资源，对其进入端口的动态轨迹进行实时监测，以此来实现对各类数据的完整掌握。然后再将掌握到的情报数据作为依据，合理驱动对定向攻击的主动防御，保障医院网络信息的安全性，并为协同指挥决策的高效制定提供有力支持[5]。在这样的情况下，整个的医院信息网络联动防御过程便相当于一个闭环结构。图2是以主动防御技术为基础设计的医院信息网络定向攻击联动防御过程示意图。

图2 医院信息网络定向攻击联动防御过程

1）在具体的主动防御设计与应用中，设计者和技术人员可用n维数据的形式来表示监测到的医院信息网络定向攻击数据，并通过空间里的n维数据离散和集成处理来确保网络模糊节点隶属度最大值处于安全范围之内。通过这样的设计方式，便可实现医院信息网络整体安全性的良好保障。在此过程中，设计者可通过如下公式来描述医院信息网络的定向攻击联动防御过程。

式（4）中，B代表医院信息网络中的模糊节点隶属度最大值；A代表医院信息网络规定的安全范围；i代表模糊超盒数的实际规模。在经上述公式计算获得医院信息网络模糊节点隶属度最大值之后，技术人员可通过诸多功能防御技术里的隶属函数来分析输入模式数据的实际属性程度。

2）在对此进行分析之前，技术人员首先需要将一个输入模式数据隶属度安全范围预设到网络前端，在发现信息网络输入端口数据隶属度超出了预设安全范围时，计算机便可判定此刻的信息网络中有被攻击的安全隐患存在。对于这样的情况，设计者与技术人员可通过主动防御技术里的追溯算法来跟踪其攻击路径。基于追溯算法的医院信息网络攻击路径跟踪计算公式如下。

式（5）中，b代表医院信息网络中的定向攻击路径主动防御时的跟踪行为；h代表攻击数据的可追溯范围；ε代表医院信息网络数据的隶属度；x代表输入模式数据隶属度规定的安全范围。在主动防御技术的具体应用中，借助于上述公式，便可对医院信息网络中的定向攻击做出有效的联动防御。

3.2 基于关联分析的安全防御和预警策略

1）在主动御技术的具体应用中，医院信息网络中的安全防护和安全预警主要通过关联分析法来实现。该方法可对医院信息网络中的日志信息进行提取和回溯分析，并对其中的TCP会话过程进行查看与检测，实现对医院信息网络非法攻击事件整个过程的全面掌握[6]。对于这个过程，技术人员可通过如下公式进行计算。

式（6）中，conf 代表医院信息网络攻击事件的整个过程；Y代表TCP会话行为；sup代表回溯过程；y代表医院信息网络中的日志信息。将上述计算结果作为基础，技术人员便可获取到攻击事件里的主要日志信息属性，包括其攻击类型、攻击行为、目标IP地址、攻击源位置以及攻击时间等。

2）通过各种属性信息的集成，技术人员便可分析出各类信息之间的关联性，并通过如下公式进行计算。

式（7）中，u0代表日志信息所具有的关联程度；L代表攻击源位置；p代表目标IP地址；

3）将获得的计算结果作为依据，设计者与技术人员便可对医院信息网络中的主动防御行为做出合理设计，其计算公式如下。

式（8）中，F代表医院信息网络中的主动防御行为；T代表主动防御时间；τ代表主动防护路径；k代表安全防护行为所能达到的覆盖范围。在对医院信息网络进行安全防护时，技术人员只需要将防护行为启动，防护指令便可经时间窗传输到终端，并形成一个相应的知识库。在知识库里的数据积累到一定量之后，其中集成的数据挖掘技术便会对原始传输信息以及报警信息关联性进行主动分析，并将报警事件关联图示输出[7]。通过这样的方式，系统便可对医院信息网络中的攻击行为及时作出安全预警。

4 医院信息网络安全防护中的主动防御技术应用测试

4.1 测试对象

为验证上述主动防御技术应用策略的有效性，在本次测试中，特将KKD-CPU-188数据集用作试点医院数据库里的测试数据。表1为本次测试中所选的试点医院储存信息类型情况。

表1 试点医院储存信息类型情况

对于上述信息，可按照安全数据和入侵数据这两种类型进行划分。本次测试中，特将其中的安全数据用作实验数据，将入侵数据用作测试数据。

4.2 测试过程

（1）可行性测试

将上述的设计内容作为基础，测试人员先将重要资产流传感器、防护墙和流量传感器部署到试点医院网络监测终端；然后在网络环境中随机导入测试数据，借助于大数据技术对试点医院中的信息网络进行安全监测与安全感知，并完成了试点医院终端网络在测试时间段内的流量截取，以此来确保监测结果的连续性。

在完成试点医院信息网络中的安全监测与安全感知之后，测试人员借助主动防御技术，为该试点医院设计了定向攻击联动防御模式。在联动防御中，测试人员主要通过关联分析网络数据的方法来实施信息网络的安全防护和安全预警。

具体测试中，根据上述方法，为该试点医院信息网络建立一个信息安全传输模式。用1代表传输终端，用2代表接收终端，用3代表传输信道；让随机选取的实验数据由1向2传输，让测试数据在3中对传输中的实验数据实施攻击。

经测试发现，在数据包由1向2的网络传输中，数据包的变化趋势具有规律性。但是当受到了外部攻击之后，数据包便呈现主动离散状态，这样便可有效防止数据包传输时的真实信息被非法获取。当数据包传输到接收终端，又会被重整为规律变化形式。这样的方式，可使医院信息网络具备更高的安全性，说明主动防御技术具有良好的可行性。

（2）防篡改能力测试

在通过上述方法对该技术的可行性做出验证之后，测试人员又测试了此项技术在信息网络中的防篡改能力。具体测试时，测试人员先将信息网络中需要传输的数据包大小随机设置在发送终端，然后在接收终端对接收到的数据包大小进行统计，并通过上述两项数据的对比来判断数据包大小是否在传输中发生改变。在此过程中，测试人员将入侵程序随机插入到了信息网络里，通过如下公式来计算防篡改率。

式（9）中，C代表医院信息网络中的防篡改率；C2代表接收到的数据包大小，C1代表发送出的数据包大小。在通过上述公式对该试点医院信息网络信息传输中的防篡改率进行了多次测试之后，获取到的测试结果如表2所示。

经上述测试结果可知，本次提出的主动控制技术应用策略在医院信息网络安全防护中具有非常高的防篡改率。因此，在对医院信息网络进行安全防护时，通过合理应用此项技术，可显著提升其信息传输的安全性。

5 结语

综上所述，主动防御技术是目前针对计算机网络攻击所研究的一种先进防护技术。不同于传统的被动防御技术，此项技术可对各种信息网络安全威胁及攻击行为做出准确预测，并以此为基础做好相应的安全防控工作。凭借着安全性高、适应性强等诸多优势，主动防御技术在现代医院信息网络安全防护中发挥着至关重要的作用。基于此，在对医院信息网络实施安全防护的过程中，设计者与技术人员一定要对此项技术做到充分了解，并结合医院信息网络实际情况，对其加以合理应用，尽最大限度提升医院信息网络的安全性。